2025年9月20日Ravie Lakshmanan人工知能 / クラウドセキュリティ
サイバーセキュリティ研究者は、OpenAI ChatGPTのDeep Researchエージェントにおけるゼロクリック脆弱性を公開しました。この脆弱性により、攻撃者は細工したメールを1通送るだけで、ユーザーの操作なしにGmailの受信トレイの機密データを漏洩させることが可能です。
この新しい攻撃手法は、RadwareによってShadowLeakと命名されました。2025年6月18日に責任ある開示が行われた後、OpenAIは8月初旬にこの問題に対処しました。
「この攻撃は、メールのHTML内に間接的なプロンプトインジェクションを隠すことで実現します(極小フォント、白地に白文字、レイアウトのトリックなど)。ユーザーはコマンドに気付かないまま、エージェントはそれらを読み取り実行します」と、セキュリティ研究者のZvika Babo、Gabi Nakibly、Maor Uzielは述べています。
「従来の研究ではクライアント側の画像レンダリングを利用して情報漏洩を引き起こしていましたが、今回の攻撃はOpenAIのクラウドインフラから直接データを漏洩させるため、ローカルや企業の防御では検知できません。」
OpenAIが2025年2月にリリースしたDeep Researchは、ChatGPTに組み込まれたエージェント機能で、インターネット上で複数ステップの調査を行い詳細なレポートを作成します。類似の分析機能は、過去1年で他の人気AIチャットボットであるGoogle GeminiやPerplexityにも追加されています。
Radwareが詳細に説明した攻撃では、脅威アクターが被害者に一見無害なメールを送信しますが、その中には白地に白文字やCSSのトリックを使った不可視の指示が含まれており、エージェントに受信トレイ内の他のメッセージから個人情報を収集し、外部サーバーに送信するよう命じています。
このようにして、被害者がChatGPT Deep ResearchにGmailのメールを分析させると、エージェントは悪意のあるメール内の間接的なプロンプトインジェクションを解析し、Base64エンコード形式で攻撃者に詳細情報をtool browser.open()を使って送信します。
「私たちは、エージェントに悪意のあるURLでbrowser.open()ツールを使用するよう明示的に指示する新しいプロンプトを作成しました」とRadwareは述べています。「最終的に成功した戦略は、抽出した個人識別情報(PII)をBase64でエンコードし、それをURLに付加するようエージェントに指示するものでした。この行為をデータ送信時のセキュリティ対策として説明しました。」
この実証コード(PoC)は、ユーザーがGmail連携を有効にしていることが前提ですが、この攻撃はChatGPTがサポートするコネクタ(Box、Dropbox、GitHub、Google Drive、HubSpot、Microsoft Outlook、Notion、SharePointなど)にも拡張可能であり、攻撃対象範囲が大幅に広がります。
AgentFlayerやEchoLeakのようなクライアント側で発生する攻撃とは異なり、ShadowLeakの場合の情報流出はOpenAIのクラウド環境内で直接発生し、従来のセキュリティ制御も回避します。この可視性の欠如こそが、類似した他の間接的プロンプトインジェクション脆弱性と一線を画す主な特徴です。
ChatGPTがCAPTCHAの解読に誘導される#
この開示は、AIセキュリティプラットフォームSPLXが、巧妙に作成されたプロンプトとコンテキストポイズニングを組み合わせることで、ChatGPTエージェントの組み込みガードレールを回避し、人間であることを証明するために設計された画像ベースのCAPTCHAを解読できることを実証したタイミングで発表されました。
この攻撃は、通常のChatGPT-4oチャットを開き、大規模言語モデル(LLM)に偽のCAPTCHAリストを解決する計画を立てさせることから始まります。次のステップでは、新しいChatGPTエージェントチャットを開き、先ほどのLLMとの会話を貼り付けて「これが以前の議論です」と伝えます。これにより、モデルは抵抗なくCAPTCHAを解決するようになります。
「トリックは、CAPTCHAを“偽物”として再定義し、エージェントがすでに進行に同意した会話を作ることでした。そのコンテキストを継承することで、通常の警戒信号を見逃してしまったのです」と、セキュリティ研究者のDorian Schultzは述べています。
「エージェントは単純なCAPTCHAだけでなく画像ベースのものも解読し、カーソルを人間の動きのように調整することさえありました。攻撃者は実際の制御を“偽物”と再定義して回避できるため、コンテキストの整合性、メモリの衛生管理、継続的なレッドチーミングの必要性が強調されます。」
翻訳元: https://thehackernews.com/2025/09/shadowleak-zero-click-flaw-leaks-gmail.html